[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:00539] 怪しいファイルの検出方法
- To: security-talk@xxxxxxxxxxxxxxxxxxxx
- Subject: [stalk:00539] 怪しいファイルの検出方法
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Sun, 24 Jun 2001 13:52:00 +0900
Port139 伊原です。
先ほど、バックドアの隠し場所の簡単なサマリを投げさせていただきましたが、
悪意のあるプログラムの検出方法についても幾つかフォローいただきましたので
簡単にまとめてみました。
#ごめんなさい、Mac はよくわかりませんでした(__;;
こんな方法やツールもある、ここにこんな参考になる URL などありましたら
フォローいただければ幸いです。
#特に日本語文献が見当たらなくて・・・
■検出方法
-FD や CD-ROM 等においた安全が確認できる find、ls 等を利用する
*find の構文例などについては、参考 URL 参照かフォロー希望
-NT で NTFS の ADS も含めて検索する場合には以下のツールが便利
http://www.foundstone.com/rdlabs/proddesc/forensic-toolkit.html
-Tripwire、AIDE、sfpC(spfDB)などのツールを利用する
Tripwire http://www.tripwire.org/
AIDE http://www.cs.tut.fi/~rammer/aide.html
Solaris Fingerprint Database Companion (sfpC) & SideKick
http://www.sun.com/blueprints/tools/fingerprint.html
*他にもこんなのあるぞってなのがありましたら教えてください
-RPM の -V オプションを利用してチェックする
-rootkit チェックツールを使う
http://www.chkrootkit.org/
■参考になる URL
Rootkits: Hiding a Succesfull System Compromise
http://www.cchem.berkeley.edu/College/unix/docs/rootkit.html
Steps for Recovering from a UNIX or NT System Compromise
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
Windows NT Intruder Detection Checklist
http://www.cert.org/tech_tips/win_intruder_detection_checklist.html
インターネットでの不正行為 その傾向と対策
http://www.jpcert.or.jp/magazine/beginners/im9811jc.pdf
技術メモ - コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2000/ed000007.txt
---
WinSyslog,EventReporter 販売中: http://adiscon.port139.co.jp/
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
◎ 洗濯モノたまってない? ◎
http://tenki.infoseek.co.jp/amedas_b_zen.html?svx=971122